Esperienza obbligata di forensics

Mi è impazzito il controller SATA e mi sono perso una partizione del Desktop… la /home :-/

E’ stata una buona occasione per fare un po’ di data-carving. Fatta l’immagine del disco l’ho data in pasto a photorec, scalpel e foremost. Non invidio per nulla chi lo fa di mestiere e si deve smazzare i file recuperati…

L’unica cosa che dovevo assolutamente recuperare era la chiave privata ssh con la quale accedo ad un certo numero di server… lo strumento migliore si è rivelato il solito “grep”. Con qualcosa tipo:
cat home.dd | grep -a -A 20 "BEGIN DSA PRIVATE KEY"
ho recuperato la mia chiave 🙂